Gegevens 3,3 miljoen Hello Kitty-fans staan online na server-hack

De database van sanriotown.com is online verschenen, waarmee de accountgegevens van 3,3 miljoen gebruikers van de site op straat liggen. Sanriotown is de site van de community van Hello Kitty-liefhebbers, waardoor het waarschijnlijk om veel accounts van kinderen gaat.

De database, die online is gezet door hackers, bevat namen, geboortedata, geslacht, land van herkomst en e-mailadres. Ook liggen de sha-1-wachtwoordhashes, die niet zijn gesalt, op straat, evenals de hints voor de wachtwoorden en hun respectievelijke antwoorden.

Sanrio is het Japanse bedrijf achter Hello Kitty en andere personages van de franchise en sanriotown is de officiële communitysite. Daarnaast gebruikten andere Hello Kitty-portals dezelfde database, waaronder hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in en mymelody.com. Ook twee databasemirrors zijn toegankelijk. Niet bekend is hoe lang de informatie al online staat; de oudste datum die te achterhalen is, is 22 november 2015. De beveiligingsonderzoeker Chris Vickery ontdekte de hack en lichtte CSO daar over in.

Sanrio en de hostingprovider zijn van de hack op de hoogte gebracht, maar hebben nog niet gereageerd. Details over de manier waarop de hackers de database wisten binnen te dringen zijn niet bekend, maar volgens Databreaches ging het om een MongoDB-database. Begin dit jaar waarschuwden experts dat veel MongoDB-servers niet goed geconfigureerd waren en in maart werd een ernstig lek in de phpMoAdmin-tool van de software ontdekt. De nu ontdekte hack volgt op die van speelgoedfabrikant VTech, die in totaal 11 miljoen accounts betrof, waaronder 6,4 miljoen van kinderen.

Sanrio Hello Kitty

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 21-12-2015 08:37
62 • submitter: Simyager

21-12-2015 • 08:37

62

Submitter: Simyager

Lees meer

FBI: HelloKitty-ransomwaregroep gebruikt ddos-aanvallen als afpersingstechniek
FBI: HelloKitty-ransomwaregroep gebruikt ddos-aanvallen als afpersingstechniek Nieuws van 2 november 2021
Onderzoeker vindt publiek toegankelijke server met geheime NSA-bestanden
Onderzoeker vindt publiek toegankelijke server met geheime NSA-bestanden Nieuws van 29 november 2017
Door Cloudpets-speelgoed opgenomen gesprekken waren toegankelijk via internet
Door Cloudpets-speelgoed opgenomen gesprekken waren toegankelijk via internet Nieuws van 28 februari 2017
Duitse toezichthouder adviseert ouders 'connected' pop onschadelijk te maken
Duitse toezichthouder adviseert ouders 'connected' pop onschadelijk te maken Nieuws van 17 februari 2017
Consumentenorganisaties dienen klachten in om 'slim' speelgoed - update
Consumentenorganisaties dienen klachten in om 'slim' speelgoed - update Nieuws van 6 december 2016
UserVoice meldt diefstal sha1-hashes van wachtwoorden na hack
UserVoice meldt diefstal sha1-hashes van wachtwoorden na hack Nieuws van 10 mei 2016
Miljoenen accountgegevens van Minecraft-community Lifeboat zijn buitgemaakt
Miljoenen accountgegevens van Minecraft-community Lifeboat zijn buitgemaakt Nieuws van 26 april 2016
VTech wil dat gebruikers erkennen dat gegevens bij zijn dienst onveilig zijn
VTech wil dat gebruikers erkennen dat gegevens bij zijn dienst onveilig zijn Nieuws van 9 februari 2016
Hostingbedrijf Linode stelt wachtwoorden opnieuw in na mogelijke hack
Hostingbedrijf Linode stelt wachtwoorden opnieuw in na mogelijke hack Nieuws van 6 januari 2016
Persoonsgegevens 191 miljoen geregistreerde Amerikaanse kiezers lekken uit
Persoonsgegevens 191 miljoen geregistreerde Amerikaanse kiezers lekken uit Nieuws van 28 december 2015
Lek bij Hello Kitty-fansite gedicht
Lek bij Hello Kitty-fansite gedicht Nieuws van 23 december 2015
Hackers stelen mogelijk forumdatabases QBitTorrent en Deluge
Hackers stelen mogelijk forumdatabases QBitTorrent en Deluge Nieuws van 21 december 2015
Britse man opgepakt in verband met VTech-hack
Britse man opgepakt in verband met VTech-hack Nieuws van 15 december 2015
VTech-hack betrof profielen van 6,4 miljoen kinderen in plaats van 200.000
VTech-hack betrof profielen van 6,4 miljoen kinderen in plaats van 200.000 Nieuws van 2 december 2015
VTech-hacker kreeg ook foto's en chatlogs van speelgoedgebruikers in handen
VTech-hacker kreeg ook foto's en chatlogs van speelgoedgebruikers in handen Nieuws van 1 december 2015
Hacker steelt gegevens van meer dan 5 miljoen klanten VTech - update
Hacker steelt gegevens van meer dan 5 miljoen klanten VTech - update Nieuws van 27 november 2015
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (62)

-Moderatie-faq
62
56
31
2
0
5
Wijzig sortering
Sandwalker 21 december 2015 09:35
Dat is een fors aantal gedupeerden. Toch apart dat we inmiddels wetten en regels hebben voor de omgang met privacy gevoelige data, maar dat er nog geen minimum standaard is die dwingend wordt voorgeschreven aan wat voor voorwaarden je opslag moet doen. Het CPB schrijft in haar richtsnoer: "Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden" Ik weet ook in Europees verband niet van goede verplichtingen op dit gebied. Maar als we dit aan de markt overlaten, blijven dit soort lekken plaatsvinden. Nou is het an sich niet erg als er persoonsgegevens van mensen bekend zijn, maar doordat mensen login credentials vaak recyclen, ontstaan er wel problemen. Het argument: dan moet het publiek beter omgaan met wachtwoorden is een flauwe. Ja iedereen kan en moet imho aan de password manager, maar ook bedrijven moeten hun steentje bijdragen en beveiliging goed implementeren.
Bitage @Sandwalker21 december 2015 11:12
Nou is het an sich niet erg als er persoonsgegevens van mensen bekend zijn
Wat een aparte uitspraak, licht die eens toe.
Sandwalker @Bitage21 december 2015 11:41
Ik had me inderdaad iets preciezer kunnen uitdrukken: Persoonsgegevens zijn vaak al bekend of we maken ze zelf bekend. Denk aan naam, geslacht, gebruikersnaam, email. Door de bank genomen kan iemand niet zoveel met die data.
Wordt er een site gehacked dan moet je voor die site even nieuwe credentials aanmaken.
Bij sommige sites is het gênant of slecht voor je carrière, maar meestal valt de schade wel te overzien. Het wordt wat anders als iemand bij veel sites onder dezelfde gebruikersnaam / email adres actief is en hetzelfde wachtwoord gebruikt.
rob12424 @Sandwalker21 december 2015 16:08
Weet je hoe makkelijk het is om met maar een beperkt aantal gegevens identiteitsfraude te plegen in sommige landen of zelfs in Nederland.

En ja je kan dingen soms ook ergens anders vinden maar waarom zoeken en info koppellen als het ergens anders al voor je gedaan is?
flabber @Sandwalker21 december 2015 21:02
Kan iemand niet zoveel met die data?

Die data is hard op weg om groter te worden dan menig andere fysieke grondstof.
Dit is lang aan de gang en de waarde van informatie is gewoon op te zoeken.
Bijvoorbeeld via de legale weg van marketeers: deze calculator op de Financial Times

Verder twee interessante 'short reads' over hoe snel die data meer waard wordt : weforum , Guardian.
SuperDre @Sandwalker21 december 2015 10:57
Probleem is natuurlijk wel dat je niet zomaar kunt voorschrijven hoe de opslag MOET zijn, want wat vandaag veilig LIJKT kan morgen zo lek als een mandje zijn. En wat de 1 onveilig vindt kan voor de ander gewoon veilig lijken, niet iedereen is een expert op elk gebied (en kan dat ook nooit zijn), en er zijn natuurlijk ook altijd mensen die denken dat ze wel een expert zijn...
En een password manager is ook niet DE oplossing, want het is al wel weer gebleken dat die managers zelf ook verre van veilig zijn..
Anoniem: 463321 @SuperDre21 december 2015 11:21
Probleem is natuurlijk wel dat je niet zomaar kunt voorschrijven hoe de opslag MOET zijn, want wat vandaag veilig LIJKT kan morgen zo lek als een mandje zijn.
Je kunt natuurlijk wel voorschrijven dat tenminste moet worden voldaan aan de eisen waarvan men vindt dat die op dit moment veilig zijn. De situatie wordt er dan in elk geval een stuk beter door dan wanneer niemand iets aan de beveiliging verbeterd onder het mom van 'het wordt ooit toch wel onveilig verklaard'.
jaapzb @Anoniem: 46332121 december 2015 11:32
op dit moment
Dat is in ieder geval wel mijn interpretatie van wat het CBP voorschrijft met
Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden
Maar dan is het nog steeds erg vaag.
Zerotorescue @SuperDre21 december 2015 11:42
Daarom is het CBP ook vaag in zulke dingen. "Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden" betekent dat je het lekker zelf mag uitzoeken en eigenlijk gewoon altijd op de hoogte moet zijn van de laatste geaccepteerde beveiligingsstandaarden. Doen wat jij denkt dat het beste is is dus niet voldoende, je moet gewoon het beste doen. Is die kennis er niet dan moet je die zoeken.

Per 2016 moet je al een datalek melding doen bij het CBP als je bij het dichten van een potentiële lek niet kan uitsluiten dat er geen data is gelekt. Ik weet niet wanneer het CBP een melding serieus gaat verwerken, maar bij een serieuze melding zal het CBP beoordelen of je voldoende de moeite heb genomen om de lek te voorkomen. Hierbij moet je aangeven wat er gelekt is/zou kunnen zijn. Goed geëncrypte data is dan een veel kleiner probleem dan identiteitsbewijzen (die je aan de ene kant bij wet niet mag bewaren maar aan de andere kant van de belastingdienst wel weer verplicht moet bewaren). Regelmatige pen tests, elke dag up-to-date software, stricte bedrijfspolicies, goede audit trails etc. Stel er is gisteren een security update uitgekomen voor Apache dan moet die eigenlijk vandaag al op de servers staan. Er komt heel veel bij kijken om datalekken te voorkomen en detecteren. Doe je dit niet dan kan je maximaal een boete van € 820.000 krijgen.

[Reactie gewijzigd door Zerotorescue op 25 juli 2024 10:36]

MarvinJames 21 december 2015 08:53
Is het motief van de hackers bekend?

Zouden zij losgeld gevraagd hebben met als dreigement de database te releasen? Zijn het idealisten die "gewoon" willen aantonen dat de website lek is? En waarom een website als deze?

Een hoop vragen toch die naar boven komen bij mij...
Grrrrrene @MarvinJames21 december 2015 09:12
Tsja, kinderen lijken het nieuwe doelwit te zijn ofzo? Laatst als die V-Tech hack, waar de beveiliging ook brak was. Ik had eigenlijk een beetje gehoopt dat de andere "speelgoedbedrijven" dan ook even kritisch naar hun eigen beveiliging zouden kijken... Niet dus.

Maar goed, ik ben erg benieuwd naar de reactie van "de gemeenschap", want het gaat nu om kinderen en dan vinden we beveiligingslekken ineens wel erg ;)

[Reactie gewijzigd door Grrrrrene op 25 juli 2024 10:36]

Proxx @MarvinJames21 december 2015 10:05
het motief is gewoon de mogelijkheid.

in veel gevallen hacken ze sites als deze omdat een of andere scan een kwetsbaarheid heeft ontdekt en vervolgens gaan ze kijken of er iets te halen valt
Simyager @MarvinJames21 december 2015 09:53
//offtopic
Is het motief van de hackers bekend?
Wat is het motief? Moord :+ .

//ontopic
Ik snap best dat het kinder(speelgoed) bedrijven zijn. Maar de servers van hun zijn wel kinderachtig eenvoudig te hacken. :+
tweegroenethee 21 december 2015 08:45
Hoe kan ik weten of mijn account ook op straat ligt?

[Reactie gewijzigd door tweegroenethee op 25 juli 2024 10:36]

AmbroosV @tweegroenethee21 december 2015 08:53
Als je een account had op een van de vermeldde websites kan je ervanuit gaan dat je account ook in de dump zit.

Overal waar je dezelfde wachtwoorden en / of herstelvragen gebruikt dus gaan aanpassen.
Mirved @AmbroosV21 december 2015 11:05
Ik zie dus net dat mijn account "breached" is door de Adobe hack.

Heb even gecheckt welk wachtwoord dat is en gelukkig mijn wachtwoord die ik voor algemene sites (nieuwssites/forums) gebruik. Compleet ander wachtwoord dan die ik gebruik voor mijn e-mail/bankzaken etc. Ben ook niet van plan mijn wachtwoord overal te gaan veranderen. Als iemand een berichtje onder mijn naam wil plaatsen dan gaan ze hun gang maar of denk ik hier te licht over?
moozzuzz @Mirved21 december 2015 11:59
Bewaar toch maar ergens het bewijs dat je email-pwd combo publiek gekend is. Als er iets van komt kan je dat dan aantonen...
DonLexos @AmbroosV21 december 2015 15:17
En als je niet in de Hello Kitty hack zit maar je gebruikt ergens toch dezelfde wachtwoorden en/of herstelvragen is dit opnieuw een goede reden om te zorgen dat dat NIET zo is.

Gebruik een password manager of verzin iets anders, maar dit is vast niet de aller aller laatste keer dat er ergens een data breach plaatsvindt, dus het blijft verstandig om er aan je eigen kant vanalles aan te doen om te zorgen dat als je wel in een dump terecht komt de impact voor jezelf minimaal is.
Dasprive @tweegroenethee21 december 2015 08:57
haveibeenpwned.com is website gerund door Troy Hunt, vrij bekende hacker en spreker, daar zal deze dataset over niet al te lang wel bij zitten. Kun je op basis van email checken of je er tussen zit.

https://haveibeenpwned.com

[Reactie gewijzigd door Dasprive op 25 juli 2024 10:36]

DR!5EQ @Dasprive21 december 2015 09:25
Een uitgebreide variant van haveibeenpwnd: https://canary.pw
ProgrammingLife @DR!5EQ21 december 2015 16:45
Damn, heb mijn email-adres en wachtwoord (in PLAIN-TEXT!!!) teruggevonden tussen een dump van een hack van 000webhost in november... Gelukkig was het een wachtwoord dat ik nergens (meer) gebruik. Waarom maken ze die dumps eigenlijk openbaar? Voor de onwetende gebruiker is dat wel knap lastig dat iedereen publiek je email-adres kan queryen :p
equit1986 @DR!5EQ21 december 2015 17:09
geeft een SSL error in IE en Chrome :(
Oyxl @Dasprive21 december 2015 09:26
Heel erg bedankt voor die site. Ik heb het altijd al eens willen controleren. Zie je toch maar dat je wel degelijk ergens bestaat.

Wel grappig trouwens dat ik blijkbaar compromised ben onder de Bitcoin Security Forum Gmail dump. Ik ben alleen nooit lid geweest van bitcoin en ben in al mijn ongetwijfeld seniore naiviteit een fel tegenstander van het principe.

Dus...de vraag is, Beantwoord Wat bevatte die hack precies? Was het een hack van daadwerkelijk de Google database(s), of anders nl.? Google search op die hack geeft wat omslachtige results.

Edit: aanpassing.

[Reactie gewijzigd door Oyxl op 25 juli 2024 10:36]

thefal @Oyxl21 december 2015 09:34
Van de site zelf:
In September 2014, a large dump of nearly 5M usernames and passwords was posted to a Russian Bitcoin forum. Whilst commonly reported as 5M "Gmail passwords", the dump also contained 123k yandex.ru addresses. Whilst the origin of the breach remains unclear, the breached credentials were confirmed by multiple source as correct, albeit a number of years old.
Oyxl @thefal21 december 2015 09:38
Ja dat vind ik dus een beetje vaag verwoord ;) Denken mensen serieus van elkaar dat ze nooit iets lezen?
SED @Oyxl21 december 2015 11:35
Waarschijnlijk was je geintresseerd in een russiche bruid en zijn die gegevens in die database yandex.ru gekomen.;)
jaapzb @Oyxl21 december 2015 11:38
De tekst op zich is duidelijk genoeg toch? Ze weten niet precies wanneer de hack zich voorgedaan heeft maar de gegevens zijn door verschillende bronnen bevestigd.

Mijn e-mailadres staat er ook in met wachtwoord, en die is ook correct. Inmiddels aangepast natuurlijk.

[Reactie gewijzigd door jaapzb op 25 juli 2024 10:36]

Oyxl @jaapzb21 december 2015 11:48
*zucht* Ik kan niet duidelijk uit de context herleiden of het een 1:1 dump is van de inhoud van Gmail(Google), of dat het om informatie gaat dat verzameld is uit secundaire bronnen. Dat wordt geen seconde duidelijk gemaakt.

PCWorld verheldert dat; sommige bronnen zeggen dat de informatie inderdaad overeenkomt met hun mail gegevens, anderen zeggen dat dit niet het geval is en nooit het geval geweest is. De aanname die mede op basis daarvan kan worden gedaan is dat het een samengestelde lijst is uit diverse bronnen, maar dat het dus wel specifiek om het gmail account gaat, niet om een account op een site gemaakt met het gmail account.

Is het nu echt nodig om altijd maar te zoeken naar denkfouten in andermans uitspraken? Je zet jezelf voor lul, want je zit er naast en laten we eerlijk zijn, het draagt verder ook niets bij. En het begint allemaal bij een stukje begrijpend lezen.

edit; Ik had weliswaar een vrij sterk wachtwoord (32 tekens en combinaties van vreemde tekens en normale meertalige woorden) en tref nergens een lijst incl. de wachtwoorden aan (gelukkig maar denk ik dan), maar heb toch m'n ww maar gewijzigd. Ik baal er wel van, na 8 jaar opeens weer om moeten is toch weer ff wennen.

[Reactie gewijzigd door Oyxl op 25 juli 2024 10:36]

jaapzb @Oyxl21 december 2015 12:46
Ik kan niet duidelijk uit de context herleiden of het een 1:1 dump is van de inhoud van Gmail(Google), of dat het om informatie gaat dat verzameld is uit secundaire bronnen. Dat wordt geen seconde duidelijk gemaakt.
Jij vroeg je af waar de data uit die dump vandaan kwam, en de tekst die er bij stond zegt duidelijk dat men dat gewoon niet precies weet. Ook de PCWorld bron die jij aanhaalt weet het niet, die doet ook maar een aanname.
Is het nu echt nodig om altijd maar te zoeken naar denkfouten in andermans uitspraken? Je zet jezelf voor lul, want je zit er naast en laten we eerlijk zijn, het draagt verder ook niets bij. En het begint allemaal bij een stukje begrijpend lezen.
Ik denk dat jij jezelf voor lul zet door zo te reageren op een normale comment met een normale vraag. Niet iedereen kan zien wat er zich allemaal in jouw blijkbaar briljante brein voordoet, sorry daarvoor.
Oyxl @jaapzb21 december 2015 12:54
Ik denk dat jij jezelf voor lul zet door zo te reageren op een normale comment met een normale vraag.
De strekking van je vraag is toch vrij duidelijk? Jij vraagt je af of ik kan lezen, want volgens jou staat het er duidelijk. Ik vind dat het contextueel op meerdere manieren valt te interpreteren en daarmee is het dus per definitie niet duidelijk. Als ik al eerder aangeef dat ik het heb gelezen, dan zou jij moeten kunnen begrijpen dat het blijkbaar voor mij niet voldoende informatie bevatte.

Vervolgens reageer je met een tijdsbepaling (wanneer),
De tekst op zich is duidelijk genoeg toch? Ze weten niet precies wanneer de hack zich voorgedaan heeft maar de gegevens zijn door verschillende bronnen bevestigd.
maar ik vraag om een specificatie van de collectie (wat).
Wat bevatte die hack precies? Was het een hack van daadwerkelijk de Google database(s), of anders nl.? Google search op die hack geeft wat omslachtige results.
Je interpreteert op dat moment mijn vraag blijkbaar niet goed, maar doet in eerste instantie alsof ik degene ben die niet kan lezen.

Het gaat mij niet om briljante breinen, maar als we nu gewoon met z'n allen lezen wat er staat en niet skimmen en vervolgens met de Franse slag interpreteren, dan zitten we ook vaker op één lijn. Ik specificeer exact wat ik wil weten (albeit doorgestreept inmiddels) en het antwoord staat duidelijk in het PCWorld stuk, waar dat niet het geval is in de comments op haveibeenpwned.

Daarnaast kunnen we ook de insinuaties die tussen de regels door worden gedaan dan laten vallen. Praat wel zo lekker als we er niet allemaal op uit zijn om te bewijzen dat we slimmer zijn dan de ander.

[Reactie gewijzigd door Oyxl op 25 juli 2024 10:36]

jaapzb @Oyxl21 december 2015 14:52
Je probeert meer uit mijn reactie te halen dan er in staat. Bovendien ben jij in deze discussie degene die "insinuaties tussen de regels door" doet.

Was gezellig, doei!
DonLexos @Dasprive21 december 2015 15:18
Zeker doen! Want niet alleen van wat er tot nu toe bekend is, als er over X maanden een nieuwe dump is en je staat daar wel in ontvang je alsnog een melding hierover. Het is ook op domein niveau (dus *@jedomein.nl) mogelijk als je dit voor een bedrijf in beheer hebt.
Auredium @tweegroenethee21 december 2015 09:11
Er was geloof ik een website die een database had van alle e-mail adressen die gelekt zijn tijdens bijna alle grote hacks. Ik ben even de naam vergeten maar ik weet dat bij verschillende shows van Jupiter Broadcasting wordt genoemt. (Edit; Dasprive heeft hem hierboven al genoemd zie ik)

That said; veel van de bedrijven waarbij een dergelijke hack wordt geopenbaard geven ook een e-mail uit dat je account is gehackt en dat het aan te raden valt je wachtwoord aan te passen.

Verder altijd de standaard adviezen:
- Gebruik overal andere wachtwoorden
- Gebruik veilige, lange wachtwoorden
- Regelmatig wachtwoorden veranderen

Andere adviezen zijn zaken zoals:
- Wachtwoord managers
- Verschillende e-mail adressen voor verschillende zaken online
- Bijhouden wat er allemaal gehackt is en mogelijk ingrijpen als een e-mail adres van je wordt geopenbaard bij een hack.


Ik weet zeker dat onze Tweakers community hier experts heeft die meer op dit gebied weten dan mij en ook wel bereid zijn dit te delen. :)

Ik geloof dat ook Tweakers zelf hierover wel eens artikelen over heeft geschreven. Als je verder geinteresseerd bent hierin raad ik je om buiten nieuwswebsites zoals Tweakers PodCast shows te volgen (deze staan ook op Youtube):
- Tech Snap
- TwITonSecurity
Beide komen weekelijks en behandelen o.a. hacks, hackersgroepen en beveiliging.

[Reactie gewijzigd door Auredium op 25 juli 2024 10:36]

xoniq @Auredium21 december 2015 09:19
https://haveibeenpwned.com/
Black Piet @xoniq21 december 2015 12:26
Zo kijken naar de soorten databases die daar genoemd staan, sta ik toch niet bij die sites geregistreerd.. :)

Ik heb alleen het gevoel dat als ik hier mijn email ga invullen, ik juist hierdoor op basis van mijn IP en mailadres alleen maar meer zooi ga ontvangen per e-mail.. :?
xoniq @Black Piet21 december 2015 14:06
Ik heb daar ook al eens het e.e.a gechecked, maar nooit spam gekregen. Dus dat valt wel mee. Verder kunnen ze maar weinig met je e-mail. Je weet nooit wat je kunt vertrouwen, maar miljoenen mensen gingen je voor met hun gegevens checken daar.

Ik ben wel op meerdere dingen gepwned:
  • Iets met Gmail
  • Origin
  • Steam community
  • Adobe
  • Soundcloud
Dan is het wel verrotte handig om te gebruiken, zo weet je wel waar je prioriteiten moeten liggen qua wachtwoorden veranderen.

EDIT
Ik heb net zelf ook weer ff gekeken, je krijgt daar ook de keuze door op een linkje te klikken: Notify me when I get pwned. Kan handig zijn, doe het zelf niet, ik kijk heel af en toe eens op die site.

[Reactie gewijzigd door xoniq op 25 juli 2024 10:36]

Anoniem: 421001 @tweegroenethee21 december 2015 08:54
De oudste datum 22/11/2015 is de oudste datum van die bekend is van publicatie van de database. Dus als je na die datum een account hebt aangemaakt, zit je redelijk veilig (tenzij men de DB meerdere malen heeft gedownload maar veelal is dat niet het geval al blijft dit een aanname). Voor die datum, kan je er beter vanuit gaan dat je account erbij betrokken is. Dus WW veranderen en de hint veranderen. Ook op andere websites waar je wellicht een ander WW gebruikt, maar misschien wel dezelfde hint verander je het beste de hint.

Het is niet absoluut noodzakelijk dat jouw account erbij betrokken is, maar dat weet je pas nadat Sanrio hierover een mededeling doet. Maar met dit soort zaken, wacht je er beter niet op en neem je pro-actief actie.
Dasprive 21 december 2015 08:46
Woehoe, het is al sha1 ipv md5. Vooruitgang. Wie weet worden ze ook ooit gesalt...
Vind trouwens dat ze op simpele fora en dergelijke security questions gewoon achterwege moeten laten. Daar zit nu de echt waardevolle info in, niet in een username of geboortedatum.
En als ik zelf ergens registreer moet ik altijd al die fake antwoorden bijhouden voor mocht ik ooit m'n account moeten resetten...

Nu kunnen we nog niet goed inschatten of er enig werkelijk effect is voor een kind als het in zo'n datalek zit, maar over 10-15 jaar als die kids van de Hello Kitty's en Vtechs groot zijn kunnen ze hun naam nog wel eens op vreemde plekken tegenkomen.

[Reactie gewijzigd door Dasprive op 25 juli 2024 10:36]

Anoniem: 324173 21 december 2015 09:13
Ze moeten hier een hoge straf opleggen aan de daders gezien het om gegevens van kinderen gaat. Indirect kunnen de perverse mannetjes zo een selectie maken en je weet niet wat nog meer.
Het mom dat het om te kijken is hoe de beveiliging is gaat dit al voorbij. Waarom doen ze dat niet in samenspraak zou je zeggen, kun je nog een beloning krijgen ook in plaats van celstraf riskeren.
Vanaf afstand inbreken in andermans eigendom blijft hoe dan ook een laffe daad.

[Reactie gewijzigd door Anoniem: 324173 op 25 juli 2024 10:36]

ard1998 21 december 2015 09:21
Op 1 april van dit jaar (toeval of niet) zijn ze ook al gehackt

http://www.databreaches.n...sonal-information-leaked/

hier staat
The information may include the names, addresses and phone numbers of as many as 6,249 shareholders who participated in an online rewards program, the Tokyo-based retail and licensing company said in a statement Wednesday.
Warom hebben de dan in het tussenlichende jaar onvoldoende maatregelen genomen om nog een aanval te voorkomen? of zijn we echt alleen maar melkkoeien.
daanb14 21 december 2015 09:28
Dat je een database hackt en het desbetreffende bedrijf/instantie erover inlicht is alleen maar goed. Het ontfutselen en online zetten van gegevens van onschuldige mensen is gewoon fout en hier mag een flinke straf op zitten. Oppakken dit soort gasten! Ik hoop dat ze gevonden worden en een flinke straf krijgen. Een matige beveiliging is nog geen excuus om zomaar iemand zijn gegevens online te verspreiden. De 'goede' hackers worden hier helaas weer de dupe van. Zij krijgen een slechte naam door de daden van dit soort types.

[Reactie gewijzigd door daanb14 op 25 juli 2024 10:36]

Anoniem: 678173 21 december 2015 08:55
volgens mij zijn dit gewoon organisaties die proberen hackers over het algemeen zwart te maken door websites te hacken waar niemand interesse in heeft behalve pedo's.
Er wordt weer lekker gestoeid in de hersenpannen.

Afgezien mijn tinfoilhat, vind ik wel dat iedereen die een website is verplicht moet kunnen worden hem te updaten en aansprakelijk gesteld moet zijn voor datadiefstal.
Net zoals winkels hun eigen voorraad zodanig moeten opbergen dat je niet zo het magazijn kan inlopen en alles kan meenemen zonder dat ze erachterkomen.

[Reactie gewijzigd door Anoniem: 678173 op 25 juli 2024 10:36]

Dasprive @Anoniem: 67817321 december 2015 08:59
Dat is precies wat er dankzij de nieuwe europese privacywet mogelijk wordt. Die wordt een dezer weken / maanden finaal goedgekeurd.

Dan kunnen er ook boetes worden uitgedeeld. Al moet je je afvragen of beheerders van dit soort website daar slachtoffer van moeten worden.
Niemand_Anders @Dasprive21 december 2015 11:57
De aanstaande privacywet zal op dit punt helaas weinig gaan veranderen. Sanrio heeft de website niet zelf gebouwd, maar uitbesteed. Sanrio zal dan van het CPB (of andere Europese instantie) een boete kunnen krijgen, maar die schuiven zij door naar de webbouwer..

Daarbij zijn overigens de boetes van dit soort instanties niet afschrikwekkend. Want men zal de boete echt niet vaststellen op 1000 euro per gelekte persoon. Voor Sanrio zou de boete dan 3,3 miljard euro (3,3 miljoen x 1000) moeten zijn.

Moet jij een opletten hoe sterk het aantal hacks afneemt nadat een aantal bedrijven een miljarden boete hebben gekregen..

Tools zoals phpMoAdmin behoren gewoon niet op een productie webserver thuis. Want dan moet je dat soort resources ineens met apache gaan beveiligingen in plaats van dat als je de tool op een aparte (beheer) webserver plaatst, je de gehele server al kunt dichtzetten in de firewall. Pas nadat je een VPN verbinding hebt, kun je dergelijke webbased tools benaderen..
Dasprive @Niemand_Anders21 december 2015 12:17
Denk niet dat boete doorschuiven naar bewerker hier opgaat: web bouwer bouwt de site, maar is vaak niet verantwoordelijk voor onderhoud of het platform waar het op draait en veel van dit soort hacks komen uit achterstallig onderhoud, niet vanwege een (destijds) onveilig gebouwde applicatie. Al weet ik niet of dat hier opgaat.

De boete zoals omschreven in de GDPR zal gebaseerd worden op de omzet van bedrijven, geen idee of dat in dit geval een interessant gegeven is (ik weet niet of het een gratis forum of een winstgevend bedrijf is).
Anoniem: 678173 @Dasprive21 december 2015 09:37
Ik vind als je een website opricht en daar miljoenen accounts op gaat laten registreren dat je best wel bewust mag zijn van het risico dat het met zich meebrengt en daar dus zorgvuldig mee om gaat.
Of dat er een soort van instantie wordt opgericht die website met miljoenen accounts gaat testen op hun beveiliging en het zo nodig hier en daar gaat opkrikken.
lordawesome @Anoniem: 67817321 december 2015 09:00
3,3 miljoen is toch een leuke score vergeleken met andere hacks. Dat kan de reden van de hack geweest zijn.
blorf 21 december 2015 09:56
Het grootste gedeelte van de gejatte info bestaat volgens mij slechts uit nicknames en email-adressen. Een beetje '2000' als je het mij vraagt.

Opvallend dat ze een 18-jaar leeftijd-check doen op een site voor kinderen. Is dit indekken? Alle kinderen hebben dus al gelogen over hun leeftijd waardoor zij (+ouders) de boel daardoor misschien bij voorbaat al in mindere mate aansprakelijk kunnen stellen.
Anoniem: 463321 @blorf21 december 2015 11:24
Volgens jou.... Misschien moet je eens de feiten lezen.

Wat de leeftijd betreft, er zullen ook genoeg volwassenen zijn die een account hebben aangemaakt voor hun jonge spruiten.
blorf @Anoniem: 46332121 december 2015 11:34
Meer dan dat is niet verplicht. Je kan als je wil nog 'name', 'country' en wat andere velden invoeren. Er is geen email-activatie, het werkt gelijk, ook met een niet-bestaand emailadres en verzonnen info. Een nieuw account maken is bijna net zo snel als inloggen met een bestaande.

edit: misschien heeft er wel iemand een manier verzonnen om een account-aanmaakscript een bak van die dingen te laten aanmaken om vervolgens de log daarvan te publiceren als lijst met "gehackte" accounts :+

[Reactie gewijzigd door blorf op 25 juli 2024 10:36]

Kol Nedra 21 december 2015 08:50
Ik ben er 1 van!! :z

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq